Description du mod`ele - The DART-Europe E-theses Portal

2 4 6 8

h˙2

2 4 6 8

Fig. 5.1 – Fonction donnant ˙h2 en fonction de h2 dans le cas o`u les deux vannes sont ouvertes (´equation (1.2)), avecH = 4,k1= 2.6,k2= 1.8 eth1= 9.

synERGIE n’est pas à proprement parler un langage hybride car il ne permet pas de décrire l’environnement continu avec lequel le programme interagit via des équations différentielles par exemple. Il doit donc être étendu pour prendre en compte cet aspect, et nous avons choisi de fonder notre nouveau modèle sur un langage de bas niveau (par exemple, le code C produit par synERGIE) plutôt que de rester au niveau de la spécification. Ce choix nous permet de rester proche des codes existants et donc d’appliquer rapidement nos techniques à des problèmes industriels.

5.2 Description du mod` ele

5.2.1 Mod´ elisation de la partie continue

La partie continue des systèmes hybrides que nous considérons est formée de variables évoluant continûment dans le temps et qui représentent les grandeurs physiques dont le programme a besoin (ou sur lesquelles il agit). La dynamique de ces variables peut être modifiée de deux fa¸cons : soit par un changement dû au programme via les actionneurs, soit par un changement dû à la dynamique elle-même, par exemple lorsque l’eau passe au-dessus du premier tuyau horizontal dans le système des deux réservoirs (voir section 1.6). Notre modèle doit être assez expressif pour intégrer ces deux phénomènes. Pour cela, nous prenons comme point de départ les problèmes de Cauchy comme définis en section 3.1. L’expressivité du modèle continu dépend alors du type de fonctionsF que nous autorisons dans l’équation (3.1). Remarquons que le choix de fonder la modélisation du milieu extérieur des programmes embarqués sur des EDOs n’est pas anodin. On peut en effet effectuer un parallèle fort entre une équation différentielle et le code source d’un programme informatique.

Les deux sont des représentations d’un système dynamique : le code source est un modèle pour le programme exécutable obtenu après compilation, et chaque instruction relie l’état du programme

a un instantt(c’est-à-dire avant l’exécution de l’instruction) à l’état du programme à l’instantt+1 (après son exécution). Une équation différentielle est elle un modèle pour une fonction continue : la fonctionF décrit l’état du système à l’instantt+dten fonction de l’état du système à l’instant t. Une EDO joue le même rôle qu’un programme mais pour des systèmes dynamiques continus, il est donc naturel de les utiliser comme base pour modéliser le milieu continu des programmes embarqués.

Pour représenter les changements dus à l’environnement lui-même, nous supposerons que la fonction F est continue et Lipschitz par morceaux. Cela permet de définir des dynamiques différentes en différentes régions de l’espace. Rappelons en effet qu’une fonction g :R→ Rⁿ est

Lipschitz par morceaux si et seulement s’il existe x0 < x1 <· · · < xn ∈ R∪ {−∞,∞} tels que la restriction deg à [xi, xi+1] est Lipschitz pour touti(cette définition s’étend naturellement aux fonctions définies surR^m ). Par exemple, la fonction donnant la dynamique de la hauteur d’eau dans le deuxième réservoir (voir la figure 1.6) est une fonction Lipschitz par morceaux (voir la fi-gure 5.1). Dans ce cas, la fonctionF est continue et globalement Lipschitz, de sorte que la solution du problème de Cauchy sous-jacent existe et est unique. En particulier, le théorème de conver-gence des itérées de Picard (théorème 3.2) est valable. L’hypothèse de n’avoir que des fonctions Lipschitz est forte, mais elle a du sens si on se rappelle que les équations différentielles que l’on va considérer sont des lois de la physique. Tous les phénomènes décrits seront donc très réguliers et l’hypothèse (très classique lorsque l’on utilise des équations différentielles) d’une condition de Lipschitz globale nous apparaˆıt comme raisonnable.

Pour prendre en compte les changements occasionnés par le programme discret, nous introdui-sons dans la fonctionF un vecteur de paramètres formels kreprésentant l’effet demactionneurs sur le milieu continu. On aura doncF =F(y, k) ; chaque coordonnée dekreprésente l’état d’un des actionneurs, et pourra être modifiée par le programme :kprendra ses valeurs dansB^m

(c’est-`

a-dire l’ensemble des vecteurs de valeurs booléennes de dimensionm), et si lai-ième coordonnée de kvaut 1, cela voudra dire que le i-ième actionneur est activé. On dispose ainsi de 2^m modes continus possibles, et pour toute valeur possible des paramètres k ∈ B^m, nous noterons Fk la fonction telle que∀y∈Rⁿ, Fk(y) =F(y, k).

Définition 5.1 (Modèle du milieu continu) Un modèle κ pour le milieu continu est un quadrupléκ=¡

V ar, m,{Fk}k∈Bm,(y0, k0)¢

tel que :

1. V ar est un ensemble de noms pour les variables continues définies par les équations différentielles ;

2. m∈Nest le nombre d’actionneurs disponibles ; 3. y0∈Rⁿ est une condition initiale, avecn=|V ar|; 4. k0∈B^mest le mode continu initial ;

5. ∀k∈B^m, Fk :Rⁿ→Rⁿ est une fonction continue Lipschitz par morceaux, avecn=|V ar|.

Exemple 5.1 (Problème du thermostat) Le système du thermostat (voir section 4.1) possède un actionneur, et donc deux modes continus. La partie continue du système est donnée par κt=

¡{x},1,{F0, F1},(x0, k0)¢ avec :

F0(x) =−x/3 F1(x) = 9−x/3. (5.1)

Les équations différentielles donnant l’évolution continue seront donc ˙x=F0(x) et ˙x=F1(x) selon le mode choisi.

Exemple 5.2 (Problème des deux réservoirs) Le problème des deux réservoirs possède quatre modes continus correspondant aux cas où les vannes 1 et 2 sont ouvertes et/ou fermées.

Un mod`ele continu pour ce syst`eme sera doncκr=¡

{h1, h2},2,{F0,0, F1,0, F0,1, F1,1},(y0, k0)¢ où F0,0 représente le cas où les deux vannes sont ouvertes (équation (1.2)),F1,0 le cas où la vanne 1 est fermée (équation (1.3)),F0,1 le cas où la vanne 2 est fermée (équation (1.4)) etF1,1 le cas où les deux vannes sont fermées (équation (1.5)).

5.2.2 Mod´ elisation de la partie discr` ete

La partie discrète de notre modèle est un programme écrit dans une extension du langage SIMPLE décrit à la section 2.2.1. En plus des expressions arithmétiques et des instructions discrètes classiques, nous introduisons un nouveau type de variables, les variables continues (CV ar), et trois instructions hybrides (HStmt dans la figure 5.2). Ces trois instructions sont :

5.2. DESCRIPTION DU MODÈLE 81 – sens.y?X où y ∈ CV ar est une variable continue et X ∈ V ar est une variable discrète.

Cette instruction sert à modéliser l’effet d’un capteur qui alloue à la variable discrète X la valeur de la variable continuey à l’instant où l’instruction est exécutée.

– act.k!c où c∈ {0,1} etk∈N. Cette instruction représente l’effet duk-ième actionneur sur l’environnement physique : la dynamique du milieu continu va être modifiée et sera régie, après l’exécution de l’instruction, par la fonction Fl, où l ∈ B^m est telle que la k-ième coordonnée de l vautc.

– wait u où u ∈ R+. Cette instruction sera utilisée pour symboliser la durée des autres instructions discrètes : on suppose en effet que chaque instruction est instantanée et on ajoute explicitement des instructionswaitpour compenser le fait qu’elles ne l’étaient pas.

Remarque Dans l’instruction de délaiwait, nous supposons que le délai est un valeur constante u∈R+. Nous n’autorisons pas à ce que le délai soit une variable ou une expression arithmétique pour empêcher les effets Zénon. En effet, en autorisant le délai à être une expression arithmétique, on pourrait écrire le programme

while1 do¡ wait¡

1/(n∗n)¢

; act.1!0; n:=n+ 1;¢

qui effectue une infinité d’actions en un temps fini. Étant donné que l’instructionwaitattend un constanteu∈R+ comme argument, et comme les programmes sont de tailles finies, il existe un temps minimum τ >0 telle que toutes les instructions waitaugmentent le temps d’au moinsτ secondes. La seule possibilité d’avoir une exécution infinie qui ne dure qu’un temps fini est donc d’avoir une exécution infinie n’exécutant qu’un nombre fini d’instructionswait.

Donc, la seule possibilité d’obtenir un effet Zénon est d’avoir une boucle infinie telle qu’aucune des itérations de la boucle ne contienne d’instructionswait. Le programme effectuerait alors une infinité d’actions en un temps nul. Une condition nécessaire (mais pas suffisante) pour ne pas avoir d’effets Zénon est donc qu’il y ait une instructionwaitdans le corps de chaque boucle infinie. Cette condition n’est cependant pas suffisante (l’instruction peut ne pas être exécutée), et une analyse de vivacité permettrait de prouver l’absence d’effet Zénon : il faut montrer que l’instructionwait sera exécutée une infinité de fois. Des outils comme Terminator [CPR06b, CGP⁺07] permettent de le faire.

Nous nommerons cette extension de SIMPLE pour le calcul hybride H-SIMPLE. Cette extension est très proche du langage initial (sa syntaxe complète est donnée à la figure 5.2), de sorte qu’il est facile de traduire un programme écrit enSIMPLEen un programme deH-SIMPLE(en particulier, tout programme deSIMPLEest un programme de H-SIMPLE). Les rajouts sont liés aux caractéristiques hybrides de ces programmes (communication avec le milieu extérieur et notion de temps d’exécution), et sont en fait souvent présent, sous forme de commentaires, dans les codes critiques générés depuis un langage de spécification. Il n’est en effet pas rare de voir, au début d’une boucle, un commentaire indiquant la fréquence à laquelle cette boucle s’exécute.

Dans ces cas, il est très simple d’ajouter une instruction waità la fin de la boucle pour simuler ce temps d’exécution.

Remarquons que les choix que nous avons effectués pour encoder les échanges entre le pro-gramme et l’environnement continu ne sont pas anodins. Nous voyons en effet le propro-gramme et l’environnement comme deux processus dynamiques s’exécutant en parallèle, les capteurs et les actionneurs étant les canaux de communication entre les deux. Parmi l’ensemble des modèles de processus communiquant existant, celui qui se rapproche le plus du type de comminucation considéré ici est le langage CSP (Communicating Sequential Processes) de Hoare [Hoa85]. En effet, les canaux de communication sont connus à l’avance et fixes (le système ne crée pas de nouveaux actionneurs ou capteurs dynamiquement). Nous avons donc choisi des instructions qui utilisent la même syntaxe que les instructions CSP : le “ ?” modélise la réception de valeur, le “ !”

l’envoi de message.

Définition 5.2 (Modèle de la partie discrète) Un modèle ∆ pour la partie discrète est un triplé (CV ar, m, P) tel que :

f ∈F X ∈V ar AExp : a ::= f |X |a+a|a−a|a×a|a/a

BExp : b ::= true|f alse|a=a|a≤a

Stmt : s ::= X :=a| s;s|if bthenselses|whileb dos|hs

u∈R+ X ∈V ar y∈CV ar k∈N c∈ {0,1} HStmt : hs ::= sens.y?X |act.k!c|waitu

Fig.5.2 – Syntaxe du langageH-SIMPLE.

1. CV ar est un ensemble de variables continues ; 2. m∈Nest le nombre d’actionneurs disponibles ;

3. P est un programme ´ecrit dans le langageH-SIMPLEn’utilisant que des variables continues deCV ar pour les actionssenset que des entiersk∈[1, m] pour les actionsact.

Exemple 5.3 (Problème des deux réservoirs.) La partie discrète du problème des deux réservoirs (c’est-à-dire le contrôleur) s’encode très simplement en H-SIMPLE (figure 5.3). Le contrôleur mesure les hauteurs d’eau h1 et h2 (lignes 4 et 5), puis, si les niveaux critiques ont été franchis, il actionne les vannes et déclenche une alarme indiquant un problème critique dans le système. On a rajouté dans le programme de la figure 5.3 deux fonctions d’anticipation (anticipate h1 et anticipate h2, lignes 14 et 15) qui permettent de prédire la hauteur d’eau dans chacun des deux réservoirs deux secondes dans le futur. On ne précise pas l’implémentation de cette fonction d’anticipation, on peut utiliser par exemple une extrapolation linéaire. En utili-sant les valeurs calculées, on peut alors contrôler plus finement les niveaux d’eau en anticipant sur le temps de fermeture des vannes. On va donc ouvrir (ou fermer) les vannes si la valeur prédite dépasse les seuils critiques (lignes 16 à 23). En fin de boucle, l’instructionwaitpermet de simuler la durée d’exécution des instructions précédentes (ici, 0.01 secondes).

5.2.3 Mod´ elisation du syst` eme hybride

Dans ce formalisme, un système hybride sera donc un couple (∆, κ) tel que ∆ est un modèle de la partie discrète etκun modèle de la partie continue. Nous imposerons néanmoins que les deux modèles partagent les mêmes variables continues et les mêmes actionneurs.

Définition 5.3 (Modèle du système hybride) Un modèle Ω pour le système hybride est un couple Ω = (∆, κ) tel que :

– ∆ =¡

CV ar, m, P¢

est un mod`ele de la partie discr`ete ; – κ=¡

V ar, m^′,{Fk}_k∈^B^m^′,(y0, k0)¢

est un mod`ele de la partie continue ; – CV ar⊆V aret m≤m^′.

La dernière condition permet de s’assurer que le programme et le milieu continu sont compatibles, c’est-à-dire que les variables sur lesquelles le programme peut agir (via une instructionsens ou act) sont bien des variables contrôlées par le milieu continu.

Remarquons que ce mod`ele de syst`emes hybrides est conforme aux objectifs que nous nous

´etions fix´es :

5.2. DESCRIPTION DU MOD`ELE 83

1 int main ( ) {

2 s e n s o r x1 , x2 ; // c a p t e u r s 3 while ( t r u e ) {

4 s e n s . x1 ? h1 ; 5 s e n s . x2 ? h2 ; 6 i f ( h1>h1 max )

7 a c t . 1 ! 0 ; throw ( alarm ) ; 8 i f ( h2>h2 max )

9 a c t . 2 ! 0 ; throw ( alarm ) ; 10 i f ( h1<h1 min )

11 a c t . 1 ! 1 ; throw ( alarm ) ; 12 i f ( h2<h2 min )

13 a c t . 2 ! 1 ; throw ( alarm ) ;

14 h 1 i n 2 s e c s = a n t i c i p a t e h 1 ( h1 , h2 ) ; 15 h 2 i n 2 s e c s = a n t i c i p a t e h 2 ( h1 , h2 ) ; 16 i f ( h 1 i n 2 s e c s>h1 max )

17 a c t . 1 ! 0 ;

18 i f ( h 2 i n 2 s e c s>h2 max ) 19 a c t . 2 ! 0 ;

20 i f ( h 1 i n 2 s e c s<h1 min ) 21 a c t . 1 ! 1 ;

22 i f ( h 2 i n 2 s e c s<h2 min ) 23 a c t . 2 ! 1 ;

24 w a i t ( 0 . 0 1 ) ; // d e l a i

25 }

26 }

Fig. 5.3 – Encodage du syst`eme des deux r´eservoirs enH-SIMPLE.

1. une mod´elisation de la partie discr`ete ne demande que quelques ajouts aux programmes existants ;

2. les actions des capteurs et des actionneurs sont explicites, et la communication entre les parties discr`etes et continues se fait par envoi de messages ;

3. les sous-systèmes discrets et continus peuvent être modélisés séparément, dans des forma-lismes différents.

La figure 1.4 peut maintenant être étendue pour rendre compte de notre nouveau modèle. La figure 5.4 décrit plus précisément le fonctionnement des programmes embarqués.

Mod`ele continu F1

· · · Fn 1

˙ y y

Capteurs

Programme discret

Etat ´ interne

Actionneurs cmd

Fig.5.4 – Fonctionnement d’un programme embarqué. La partie discrète est un programme écrit enH-SIMPLEqui calcule, en fonction de son état interne et des entrées provenant des capteurs, un résultat envoyé aux actionneurs. Ce résultat, notécmdsur le schéma, équivaut à choisir, parmi tous les modes disponibles, celui correspondant à l’actionneur à activer. Le milieu continu peut être vu comme une EDO à commutateur représentée par le bloc en haut du schéma. L’entrée de ce bloc est une commande venant des actionneurs, et la sortie est la valeur courantey de la solution de l’EDO. Cette valeur est transmise au capteur qui la transforme en le nombre flottant le plus proche, c’est-à-dire y.

5.2.4 Construction de la s´ emantique du mod` ele

Nous cherchons à définir une sémantique dénotationnelle des systèmes hybrides décrits dans notre modèle. La difficulté dans cette tâche tient à l’hétérogénéité du système et à la séparation entre les parties discrètes et continues. Le comportement de chacun des sous-systèmes se calcule en effet de manière très différente. Pour le programme, on utilise généralement une sémantique dénotationnelle comme présenté en section 2.2. Cette sémantique définit le comportement d’un programme comme une fonction calculée à l’aide d’un théorème de point fixe à la Kleene, c’est-` a-dire un théorème portant sur des fonctions monotones dans un CPO. Pour l’équation différentielle,

5.3. S´EMANTIQUE D´ENOTATIONNELLE DE LA PARTIE CONTINUE 85

Dans le document The DART-Europe E-theses Portal (Page 82-88)